每个群集的证书或每个服务提供商的证书？

Question

我们有服务提供商接受请求并创建弹性搜索集群。

颁发ssl证书的最佳实践是什么? 1.我们应该为每个群集颁发证书吗? 2.或者我的服务提供商的一个群集应该足够用来访问群集？

我假设在创建集群的同时发布新的证书更好。

请为我提供输入。

另外，在集群内部，我真的需要启用ssl才能让pod通过证书相互通信吗？

Answer 1

是的，你绝对应该使用TLS来加密在共享和托管K8S版本上运行的Elasticsearch集群之间的网络流量。

此外，我会选择最大限度地分隔客户空间：

• Kubernetes namespaces
• namespaced

帐户/角色绑定

甚至是使用customer supplied encryption闪存盘的基于PD固态硬盘的卷

我不确定您是否知道'Elastic Cloud on Kubernetes‘(ECK)的存在-它应用Kubernetes Operator模式在GCP中您自己的K8S集群上运行和操作Elasticsearch集群。把它当作一个以最安全的方式运行Elasticsearch集群的最佳实践的集合，here是一个快速入门的教程。